Nach der Konfiguration von syslog über die Transportmethode SSL wird der Fehler „syslog-ng konnte CRL nicht abrufen“ angezeigt

4462

Created On 02/23/23 09:23 AM - Last Modified 04/21/25 07:37 AM

Symptom

Nach dem Einrichten der syslog Weiterleitung über SSL schlägt die Verbindung mit der folgenden Systemprotokollmeldung fehl:

Die Syslog-Verbindung zum Server ist fehlgeschlagen['AF_INET.xxxxx:10514.']

Syslog-Verbindung zum Server unterbrochen['AF_INET.xxxxx:10514.']

Detailliertere Protokolle können in syslog-ng.log angezeigt werden:

PA-5220> tail follow ja mp-log syslog-ng.log

3. Sept. 13:23:18 fw01 syslog-ng[13884]: syslog-ng konnte CRL nicht abrufen ; idx='0', rt1='1792', URI='http://crl.xxxxx.com/AAACertificateServices.crl'

Environment

Palo Alto-Firewall.
PAN-OS 9.1 und höher.
Syslog

Cause

Die Fehlermeldung in syslog-ng.log kann in zwei Szenarien auftreten:

Wenn der CRL Server nicht erreichbar ist.
Wenn der CRL Server erreichbar ist, aber in der CRL Antwort keine CRL Liste vorhanden ist.

Resolution

Stellen Sie sicher, dass der CRL -Server über die Schnittstelle der Firewall erreichbar ist.
Mit dem Ping-Befehl kann die Konnektivität überprüft werden:

PA-5220> Ping Host
KLINGELN 56(84) Bytes Daten.
64 Bytes von : icmp_seq=1 ttl=117 Zeit=2,74 ms
64 Bytes von : icmp_seq=2 ttl=117 Zeit=2,69 ms

Mit dem Befehl Netstat kann überprüft werden, ob eine Verbindung hergestellt ist:

PA-5220> netstat numerisch anzeigen ja Programme ja | Übereinstimmung
Aktive Internet (ohne Server)
Proto Recv-Q Send-Q Lokale Adresse Fremde Adresse Status
tcp 0 0 :2049 :80 ETABLIERT

Notiz:

Additional Information